Лабораторная работа № 2-D

Защита интеграционной платформы

Доберштейн А., Оразгелдиев Я., Лобанова П., Лушин А., Барабанова К.

Российский университет дружбы народов, Москва, Россия

Информация

Докладчик

  • Доберштейн А., Оразгелдиев Я., Лобанова П., Лушин А., Барабанова К.
  • НФИбд-02-22
  • Российский университет дружбы народов

Цель работы

Основной целью работы является получение навыков обнаружения и устранение уязвимостей Bitrix vote RCE, GitLab RCE, WSO2 API-Manager RCE и их последствий.

Выполнение лабораторной работы

Для начала изучили вектор атаки, адреса злоумышленника и атакуемых серверов.

Вектор атаки

Уязвимость Bitrix vote RCE

Залогинились в ViPNet для обнаружения уязвимости в журнале событий.

Вход в ViPNet

Уязвимость Bitrix vote RCE

В “Событиях” обнаружили события: внедрение полезной нагрузки в HTTP-запрос, PHP-скрипт с кодом для удаленного выполнения команд, информирование о скачивании исполняемого файла с машины нарушителя.

Журнал событий

Уязвимость Bitrix vote RCE

Изучили информацию по CVE-коду об обнаруженной уязвимости, изучили рекомендации по нейтрализации.

Обзор уязвимости

Уязвимость Bitrix vote RCE

Для устранения уязвимости подключились к удаленному рабочему столу.

Подключение к удаленному рабочему столу

Уязвимость Bitrix vote RCE

Вошли под указанной учетной записью.

Вход

Уязвимость Bitrix vote RCE

В соответствии с вектором атаки в KeePass нашли CMS Bitrix.

KeePass

Уязвимость Bitrix vote RCE

В лог-файле apache2 по пути /var/log/apache2/access.log обнаружили следующую информацию: два запроса к файлу /bitrix/tools/vote/uf.php с внедрением полезной нагрузки для последующей загрузки веб-backdoor и запрос к файлу веб-backdoor для создания WebShell сессии с машиной нарушителя.

Лог-файл

Уязвимость Bitrix vote RCE

Произвели поиск по названию полезной нагрузки с помощью команды find /var/www/html/ -iname «payload2.phar», нашли данный файл.

Поиск файла

Уязвимость Bitrix vote RCE

Просмотрели содержимое с помощью текстового редактора, отобразилась информация о скачивании веб-backdoor по пути /var/www/html/caidao.php.

Информация о полезной нагрузке

Уязвимость Bitrix vote RCE

Открыли сайт Bitrix. Не удалось получить доступ к интерфейсу администрирования из-за действующей полузной нагрузки.

Попытка входа в Bitrix

Уязвимость Bitrix vote RCE

Для устранения вектора для локального повышения привелегий (LPE) удалили SUID-бит у файла /var/www/html/apache_restart с помощью команды chmod –s /var/www/html/apache_restart.

Устранение LPE

Уязвимость Bitrix vote RCE

Для закрытия уязвимости добавиkb изменения в файл /var/www/html/bitrix/tools/vote/uf.php, перед require_once и между знаков вопроса вставили код:

Редактирование uf.php

Уязвимость Bitrix vote RCE

Создали файл .htaccess в директории /var/www/html/bitrix/tools/vote, задающий правила работы веб-сервера для конкретного каталога и подкаталогов. Для закрытия уязвимости в данном файле можно прописали команду deny from all.

Создание .htaccess

Уязвимость Bitrix vote RCE

С помощью утилиты ss и команды kill закрыли meterpreter сессии.

Закрытие meterpreter сессий

Уязвимость Bitrix vote RCE

В директории веб-сервера обнаружили скрипт password_recovery.php.

Директория веб-сервера

Уязвимость Bitrix vote RCE

Прописали новый пароль.

password_recovery.php

Уязвимость Bitrix vote RCE

Подключились к веб-серверу, в ссылке указали название данного файла.

Deface веб-сервера

Уязвимость Bitrix vote RCE

Авторизовались с правами администратора

Авторизация

Уязвимость Bitrix vote RCE

Открылась панель администрирования.

Администрирование

Уязвимость Bitrix vote RCE

Удалили файл password_recovery.php.

Удаление файла

Уязвимость Bitrix vote RCE

Доступ к панели администрирования восстановлен. Удалили все файлы в директории взломанного веб-сервера.

Удаление файлов

Уязвимость Bitrix vote RCE

Файл резервной копии разархивировали в директорию /var/www/html с помощью команды tar xvzf /var/bitrix_backups/Bitrix_full_backup.tar.gz -C /var/www/html.

Резервная копия

Уязвимость Bitrix vote RCE

Далее повторили действия по устранению полезной нагрузки: Для устранения вектора для локального повышения привелегий (LPE) удалили SUID-бит у файла /var/www/html/apache_restart с помощью команды chmod –s /var/www/html/apache_restart.

Устранение LPE

Уязвимость Bitrix vote RCE

Для закрытия уязвимости добавиkb изменения в файл /var/www/html/bitrix/tools/vote/uf.php, перед require_once и между знаков вопроса вставили код:

Редактирование uf.php

Уязвимость Bitrix vote RCE

Создали файл .htaccess в директории /var/www/html/bitrix/tools/vote, задающий правила работы веб-сервера для конкретного каталога и подкаталогов. Для закрытия уязвимости в данном файле можно прописали команду deny from all

Создание .htaccess

Уязвимость Bitrix vote RCE

Удалили файл /var/www/html/apache_restart.

Удаление файла

Уязвимость Bitrix vote RCE

Уязвимость с ее последствием успешно устранены

Успех

Уязвимость GitLab RCE

Вернулись в ViPNet для обнаружения подозрительной активности в журнале событий. Изучили информацию об обнаруженной уязвимости.

Обзор уязвимости

Уязвимость GitLab RCE

В соответствии с вектором атаки в KeePass нашли GitLab.

KeePass

Уязвимость GitLab RCE

Подключились к удаленному рабочему столу по адресу в соответствии с вектором атаки. Открыли веб-интерфейс GitLab и авторизовались под учетной записью администратора.

GitLab

Уязвимость GitLab RCE

Перешли на страницу Admin Area.

Admin Area

Уязвимость GitLab RCE

В левой панели инструментов перешли во вкладку Settings – General.

Settings -> General

Уязвимость GitLab RCE

в настройках нашли пункт Sign-up restrictions и нажали кнопку Expand.

Sign-up restrictions

Уязвимость GitLab RCE

Настроили конфигурацию, разрешающую регистрацию новых аккаунтов только с одобрения адмнистратора.

Настройка

Уязвимость GitLab RCE

Сохранили конфигурацию.

Сохранение конфигурации

Уязвимость GitLab RCE

В панели администратора перешли во вкладку Users

Users

Уязвимость GitLab RCE

В строке с пользователем Script Kiddie нажали Delete user and contributions.

Удаление пользователя

Уязвимость GitLab RCE

Подтвердили удаление.

Подтверждение удаления

Уязвимость GitLab RCE

С помощью утилиты ss и команды kill закрыли meterpreter сессии.

Закрытие meterpreter сессий

Уязвимость GitLab RCE

Уязвимость с ее последствием успешно устранены

Успех

Уязвимость WSO2 API-Manager RCE

Вернулись в ViPNet для обнаружения подозрительной активности в журнале событий.

Журнал событий

Уязвимость WSO2 API-Manager RCE

Изучили информацию об обнаруженной уязвимости.

Обзор уязвимости

Уязвимость WSO2 API-Manager RCE

В соответствии с вектором атаки в KeePass нашли API-Manager.

KeePass

Уязвимость WSO2 API-Manager RCE

Открыли файл конфигурации WSO2 API-Manager и добавили в конец запись resource.access_control.

Файл конфигурации

Уязвимость WSO2 API-Manager RCE

Редактирование

Уязвимость WSO2 API-Manager RCE

Удалили загруженный exploit.jsp файл по пути /opt/wso2am-4.0.0/repository/deployment/server/webapps/authentic ationendpoint.

Удаление файла

Уязвимость WSO2 API-Manager RCE

Удалили сгенерированный файл /tmpp/payload.elf.

Удаление файла

Уязвимость WSO2 API-Manager RCE

С помощью утилиты ss и команды kill закрыли meterpreter сессии.

Закрытие meterpreter сессий

Уязвимость WSO2 API-Manager RCE

Зашли в веб-интерфейс WSO2 API-Manager по ссылке https://10.10.2.27:9443/carbon и авторизовались под учетной записью администратора.

Вход в веб-интерфейс

Уязвимость WSO2 API-Manager RCE

Просмотрели список пользователей.

Пользователи

Уязвимость WSO2 API-Manager RCE

Удалили пользователя hacker.

Удаление пользователя

Уязвимость WSO2 API-Manager RCE

Уязвимость с ее последствием успешно устранены.

Успех

Выводы

В результате выполнения лабораторной работы мы получили навыки обнаружения и устранение уязвимостей Bitrix vote RCE, GitLab RCE, WSO2 API-Manager RCE и их последствий.